Oracle Cloud Infrastructure GoldenGate 정책

Oracle Cloud Infrastructure GoldenGate에 대한 액세스 및 각 사용자 그룹에 있는 액세스 유형을 제어하려면 정책을 생성해야 합니다.

예를 들어, 멤버가 모든 OCI GoldenGate 리소스에 액세스할 수 있는 관리자 그룹을 생성할 수 있습니다. 그런 다음 OCI GoldenGate와 관련된 다른 모든 사용자를 위해 별도의 그룹을 생성하고, 서로 다른 구획의 OCI GoldenGate 리소스에 대한 액세스를 제한하는 정책을 생성할 수 있습니다.

Oracle Cloud Infrastructure 정책의 전체 목록은 정책 참조를 참조하십시오.

정책 생성

정책은 그룹의 멤버가 수행할 수 있는 작업 및 구획을 정의합니다.

Oracle Cloud 콘솔을 사용하여 정책을 생성합니다. Oracle Cloud 콘솔 탐색 메뉴에서 ID 및 보안, ID 순으로 선택하고 정책을 선택합니다. 정책은 다음 구문으로 작성됩니다.

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

매개변수 정의는 다음과 같습니다.

<identity-domain>: (선택사항) ID 관리를 위해 OCI IAM을 사용하는 경우 사용자 그룹의 ID 도메인을 포함합니다. 생략할 경우 OCI는 기본 도메인을 사용합니다.
<group-name>: 권한을 부여할 사용자 그룹의 이름입니다.
<verb>: 그룹에 리소스 유형에 대한 특정 레벨의 액세스 권한을 부여합니다. 동사가 inspect에서 read에서 use에서 manage로 이동하면 액세스 레벨이 증가하고 부여된 권한은 누적됩니다.

사용 권한 및 동사 간의 관계에 대해 자세히 알아봅니다.
<resource-type>: 그룹에게 작업 권한을 부여하는 리소스 유형입니다. goldengate-deployments, goldengate-pipelines 및 goldengate-connections와 같은 개별 리소스가 있으며 이전에 언급한 개별 리소스가 포함된 goldengate-family와 같은 리소스 패밀리가 있습니다.

자세한 내용은 resource-types를 참조하십시오.
<location>: 정책을 컴파트먼트 또는 테넌시에 연결합니다. 이름 또는 OCID별로 단일 컴파트먼트 또는 컴파트먼트 경로를 지정하거나, 전체 테넌시를 포함하도록 tenancy를 지정할 수 있습니다.
<condition>: 선택사항. 이 정책이 적용될 하나 이상의 조건입니다.

정책 구문에 대해 자세히 알아봅니다.

정책을 생성하는 방법

정책을 생성하려면 다음과 같이 하십시오.

Oracle Cloud 탐색 메뉴에서 ID 및 보안을 선택한 다음 [식별]에서 정책을 선택합니다.
[정책] 페이지에서 정책 생성을 선택합니다.
[정책 생성] 페이지에서 정책에 대한 이름과 설명을 입력합니다.
이 정책을 생성할 구획을 선택합니다.
정책 작성기 섹션에서 다음 중 하나를 수행할 수 있습니다.
- 정책 사용 사례 드롭다운에서 GoldenGate 서비스를 선택하고 공통 정책 템플리트(예: 사용자가 GoldenGate 리소스를 관리할 수 있도록 하는 필수 정책)를 선택합니다.
- 수동 편집기 표시를 선택하여 다음 형식으로 정책 규칙을 입력합니다.
```
allow <subject> to <verb> <resource-type> in <location> where <condition>
```
  조건은 선택 사항입니다. 동사 + 리소스 유형 조합에 대한 세부정보를 참조하십시오.
참고: 자세한 내용은 최소 권장 정책을 참조하십시오.
생성을 선택합니다.

정책에 대한 자세한 내용은 정책 작동 방식, 정책 구문 및 정책 참조를 참조하십시오.

최소 권장 정책

참고 사항:

공통 정책 템플리트를 사용하여 필요한 모든 정책을 추가하려면 다음과 같이 하십시오.

정책 사용 사례의 경우 드롭다운에서 GoldenGate 서비스를 선택합니다.
일반 사용 템플리트의 경우 드롭다운에서 사용자가 GoldenGate 리소스를 관리할 수 있도록 하는 필수 정책을 선택합니다.

최소한 다음과 같은 정책이 필요합니다.

사용자가 배포 및 연결 작업을 수행할 수 있도록 GoldenGate 리소스를 사용하거나 관리할 수 있습니다. 예:
```
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
```
사용자가 구획 및 서브넷을 보고 선택할 수 있도록 네트워크 리소스를 관리하고, GoldenGate 리소스를 생성할 때 프라이빗 끝점을 생성 및 삭제할 수 있도록 허용합니다. 예:
```
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
```
참고:
- 전용 끝점을 사용하여 배치 또는 접속을 생성할 때 선택한 서브넷에 하나 이상의 IP가 할당됩니다. 서비스가 네트워크 리소스를 생성할 수 있도록 하려면 서브넷과 배치 또는 접속의 컴파트먼트 모두에 필요한 네트워크 액세스 권한을 제공해야 합니다.
- 마찬가지로, 서비스가 네트워크 리소스를 삭제할 수 있도록 전용 끝점을 사용하여 배치 또는 접속을 삭제할 때 적합한 네트워크 액세스 권한이 필요합니다.
선택적으로 세분화된 정책 조합을 사용하여 네트워크 리소스를 추가로 보호할 수 있습니다. 네트워크 리소스 보안을 위한 정책 예를 참조하십시오.
동적 그룹을 생성하여 정의된 규칙을 기반으로 리소스에 권한을 부여합니다. 이를 통해 GoldenGate 배치 및/또는 파이프라인이 테넌시의 리소스에 액세스할 수 있습니다. <dynamic-group-name>를 선택한 이름으로 바꿉니다. 필요에 따라 여러 동적 그룹을 생성하여 여러 구획 또는 테넌시에 걸친 배포의 권한을 제어할 수 있습니다.
```
name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
```
참고: 이 목록의 다음 정책은 <dynamic-group-name>을 참조하십시오. 동적 그룹을 두 개 이상 생성하는 경우 다음 정책을 추가할 때 올바른 동적 그룹 이름을 참조해야 합니다.
비밀번호 암호와의 접속을 사용하는 경우 접속에 지정하려는 배치가 접속의 비밀번호 암호에 액세스할 수 있어야 합니다. 컴파트먼트 또는 테넌시에 정책을 추가했는지 확인합니다.
```
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
```

IAM 사용 테넌시에서 검증을 위해 IAM(ID 및 액세스 관리) 사용자 및 그룹을 읽을 수 있습니다.

allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

Oracle Vault에서 고객 관리 암호화 키 및 비밀번호 암호에 액세스합니다. 예:

allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

다음 서비스를 사용할지 여부에 따라 다음 정책도 추가해야 할 수 있습니다.

소스 및/또는 대상 데이터베이스를 위한 Oracle AI 데이터베이스. 예:

allow group <identity-domain>/<group-name> to read database-family in <location>

allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

Oracle Object Storage - 수동 및 일정이 잡힌 OCI GoldenGate 백업을 저장합니다. 예:

allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
allow group <identity-domain>/<group-name> to inspect buckets in <location>

OCI 로깅 - 로그 그룹에 액세스합니다. 예:

allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>

로드 밸런서(배치 콘솔에 대한 퍼블릭 액세스를 사용으로 설정하는 경우):

allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location>

allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

작업 요청:

allow group <identity-domain>/<group-name> to inspect work-requests in <location>

Zero Trust Packet Routing(ZPR). 필수만 VCN 및/또는 로드 밸런서에 보안 속성을 추가하여 접속 및 공용 배치에 대한 액세스를 제어하는 경우 다음 정책을 추가하여 로드 밸런서에 대한 공용 인터넷 트래픽과 로드 밸런서와 프라이빗 끝점 간의 트래픽 플로우를 허용합니다.
- VCN 및 로드 밸런서에 대해 보안 속성이 추가된 경우:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints
```
- 보안 속성이 로드 밸런서가 아닌 VCN에 대해서만 추가되었으며 로드 밸런서가 CIDR 10.0.1.0/24인 퍼블릭 서브넷에 있는 경우:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints
```
  주: 전용 접속 및 프라이빗 배치와 같은 기타 리소스의 경우 보안 속성이 생성된 프라이빗 끝점에 추가됩니다. 로드 밸런서는 기본적으로 프라이빗 배치와 함께 생성되지 않으므로 위의 ZPR 예제는 적용되지 않습니다. 이 경우 ZPR이 프라이빗 끝점을 보호하므로 ZPR 정책이 필요할 수 있습니다. 정확한 정책은 사용 사례에 따라 달라집니다.
ZPR 정책 구문에 대해 자세히 알아보십시오.

다음 명령문은 작업 영역에 대한 태그 네임스페이스 및 태그를 관리할 수 있는 그룹 권한을 제공합니다.

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

정의된 태그를 추가하려면 태그 네임스페이스 사용 권한이 있어야 합니다. 태그 지정에 대한 자세한 내용은 리소스 태그를 참조하십시오.

네트워크 리소스에 대한 정책 예

사용자가 정책을 사용하여 컴파트먼트 내의 네트워크 리소스에 쉽게 액세스할 수 있도록 허용할 수 있습니다.

allow group <group-name> to use virtual-network-family in compartment <compartment-name>

또는 다음 정책을 사용하여 보다 세분화된 레벨로 네트워크 리소스를 보호할 수 있습니다.

연산	기본 리소스에 대한 필수 액세스
프라이빗 끝점 생성	프라이빗 끝점 컴파트먼트의 경우: VNIC 만들기(`VNIC_CREATE`) VNIC 삭제(`VNIC_DELETE`) 네트워크 보안 그룹의 구성원 업데이트(`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) 네트워크 보안 그룹 연결(`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`) 서브넷 컴파트먼트의 경우: 서브넷 연결(`SUBNET_ATTACH`) 서브넷 분리(`SUBNET_DETACH`)
프라이빗 끝점 갱신	프라이빗 끝점 컴파트먼트의 경우: VNIC 업데이트(`VNIC_UPDATE`) 네트워크 보안 그룹의 구성원 업데이트(`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) 네트워크 보안 그룹 연결(`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`)
프라이빗 끝점 삭제합니다.	프라이빗 끝점 컴파트먼트의 경우: VNIC 삭제(`VNIC_DELETE`) 네트워크 보안 그룹의 구성원 업데이트(`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) 서브넷 컴파트먼트의 경우: 서브넷 분리(`SUBNET_DETACH`)
프라이빗 끝점 컴파트먼트 변경	한 컴파트먼트에서 다른 컴파트먼트로 이동하는 경우 원래 컴파트먼트의 모든 권한도 새 컴파트먼트에 있어야 합니다.

자원 유형

Oracle Cloud Infrastructure GoldenGate는 정책 작성을 위해 집계 및 개별 리소스 유형을 모두 제공합니다.

집계 리소스 유형 개별 리소스 유형

집계 리소스 유형	개별 리소스 유형
`goldengate-family`	`goldengate-deployments` `goldengate-deployment-backups` `goldengate-deployment-upgrades` `goldengate-connections` `goldengate-connection-assignments` `goldengate-pipelines`

goldengate-family

goldengate-deployments

goldengate-deployment-backups

goldengate-deployment-upgrades

goldengate-connections

goldengate-connection-assignments

goldengate-pipelines

집계 goldengate-family 리소스 유형에 대해 다루는 API는 개별 리소스 유형에 대한 API도 다룹니다. 예제

allow group gg-admins to manage goldengate-family in compartment <compartment-name>

다음 정책을 작성하는 것과 동일합니다.

allow group gg-admins to manage goldengate-deployments in compartment <compartment-name>
allow group gg-admins to manage goldengate-connections in compartment <compartment-name>
allow group gg-admins to manage goldengate-connection-assignments in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-upgrades in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-backups in compartment <compartment-name>
allow group gg-admins to manage goldengate-pipelines in compartment <compartment-name>

지원되는 변수

정책에 조건을 추가할 때 Oracle Cloud Infrastructure 일반 변수 또는 서비스별 변수를 사용할 수 있습니다.

Oracle Cloud Infrastructure GoldenGate는 모든 일반 변수를 지원합니다. 자세한 내용은 모든 요청에 대한 일반 변수를 참조하십시오.

동사 + 자원 유형 조합에 대한 세부정보

정책 생성 시 사용할 수 있는 다양한 Oracle Cloud Infrastructure 동사와 리소스 유형이 있습니다.

다음 표에서는 Oracle Cloud Infrastructure GoldenGate에 대한 각 동사에서 다루는 권한 및 API 작업을 보여줍니다. 액세스 레벨은 inspect에서 read, use에서 manage로 갈수록 누적됩니다.

goldengate-배치

권한 설정	완전히 적용되는 API
INSPECT
GOLDENGATE_DEPLOYMENT_INSPECT	목록 배포
GOLDENGATE_DEPLOYMENT_INSPECT	ListWorkRequests
READ
검사 +	검사+
GOLDENGATE_DEPLOYMENT_READ	배치 가져오기
	작업 요청 목록 가져오기
	작업 요청 오류 리스트
	작업 요청 로그
USE
읽기 +	읽기 +
GOLDENGATE_DEPLOYMENT_UPDATE	배치 업데이트
	배치 시작
	배치 정지
	배치 복원
관리
사용 +	사용 +
GOLDENGATE_DEPLOYMENT_생성	배치 생성
GOLDENGATE_DEPLOYMENT_삭제	배치 삭제
GOLDENGATE_DEPLOYMENT_MOVE	배치 컴파트먼트 변경

GoldenGate 연결

권한 설정	완전히 적용되는 API
INSPECT
GOLDENGATE_CONNECTION_INSPECT	연결 나열
READ
검사 +	검사+
GOLDENGATE_CONNECTION_READ	연결 가져오기
USE
읽기 +	읽기 +
GOLDENGATE_CONNECTION_UPDATE	연결 갱신
관리
사용 +	사용 +
골드엔게이트_연결_생성	접속 생성
GOLDENGATE_CONNECTION_DELETE	연결 삭제
GOLDENGATE_CONNECTION_MOVE	접속 컴파트먼트 변경

goldengate-connection 지정

권한 설정	완전히 적용되는 API
INSPECT
GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT	리스트 연결 할당
READ
검사 +	검사+
GOLDENGATE_CONNECTION_ASSIGNMENT_READ	연결 할당 가져오기
USE
읽기 +	읽기 +
n/a	n/a
관리
사용 +	사용 +
골드엔게이트 연결 지정_생성	연결 할당 생성
GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE	연결 할당 삭제

goldengate-배치 백업

권한 설정	완전히 적용되는 API
INSPECT
GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT	배치 백업 나열
READ
검사 +	검사+
GOLDENGATE_DEPLOYMENT_BACKUP_READ	배치 백업 가져오기
GOLDENGATE_DEPLOYMENT_BACKUP_READ	배치 복원
USE
읽기 +	읽기 +
골드게이트_배포_백업_업데이트	배치 백업 업데이트
관리
사용 +	사용 +
골드게이트_배포_백업_생성	배치 백업 생성
골드게이트_배포_백업_삭제	배치 백업 삭제
GOLDENGATE_DEPLOYMENT_BACKUP_MOVE	배치 백업 컴파트먼트 변경

각 API 작업에 필요한 권한

다음은 논리적 순서로 리소스 유형별로 그룹화된 Oracle Cloud Infrastructure GoldenGate에 대한 API 작업 목록입니다.

리소스 유형은 goldengate-deployments, goldengate-connections 및 goldengate-deployment-backups입니다.

API 작업	권한 설정
`ListDeployments`	GOLDENGATE_DEPLOYMENT_INSPECT
`CreateDeployment`	GOLDENGATE_DEPLOYMENT_생성
`GetDeployment`	GOLDENGATE_DEPLOYMENT_READ
`UpdateDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`DeleteDeployment`	GOLDENGATE_DEPLOYMENT_삭제
`StartDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`StopDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`RestoreDeployment`	GOLDENGATE_DEPLOYMENT_BACKUP_READ 및 GOLDENGATE_DEPLOYMENT_UPDATE
`ChangeDeploymentCompartment`	GOLDENGATE_DEPLOYMENT_MOVE
`UpgradeDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`ListConnections`	GOLDENGATE_CONNECTION_INSPECT
`CreateConnection`	골드엔게이트_연결_생성
`GetConnection`	GOLDENGATE_CONNECTION_READ
`UpdateConnection`	GOLDENGATE_CONNECTION_UPDATE
`DeleteConnection`	GOLDENGATE_CONNECTION_DELETE
`ChangeConnectionCompartment`	GOLDENGATE_CONNECTION_MOVE
`ListConnectionAssignments`	GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT
`CreateConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`GetConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_READ
`DeleteConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`ListDeploymentBackups`	GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT
`GetDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_READ
`CreateDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_CREATE, GOLDENGATE_DEPLOYMENT_READ
`UpdateDeploymentBackup`	골드게이트_배포_백업_업데이트
`CancelDeploymentBackup`	골드게이트_배포_백업_업데이트
`DeleteDeploymentBackup`	골드게이트_배포_백업_삭제
`ChangeDeploymentBackupCompartment`	GOLDENGATE_DEPLOYMENT_BACKUP_MOVE
`GetDeploymentUpgrade`	GOLDENGATE_DEPLOYMENT_UPGRADE_READ
`ListDeploymentUpgrades`	GOLDENGATE_DEPLOYMENT_UPGRADE_INSPECT
`GetWorkRequest`	GOLDENGATE_DEPLOYMENT_READ
`ListWorkRequests`	GOLDENGATE_DEPLOYMENT_INSPECT
`ListWorkRequestErrors`	GOLDENGATE_DEPLOYMENT_READ
`ListWorkRequestLogs`	GOLDENGATE_DEPLOYMENT_READ